本文主要給大家詳細的介紹了對于CISCO路由器，如何進行TCP攔截防止DOS的攻擊，希望此文對于讀者學(xué)習(xí)CISCO路由器有所幫助。

1）定義一個acl，目的是要保護的機器：

access-list 101 per tcp any host 202.106.0.20

由于沒必要匹配源地址，一般的dos都伴隨著地址欺騙，所以這里的source都是any.

2）全局下開啟tcp intercept.

ip tcp intercept list 101

3）設(shè)置tcp攔截的模式 ，tcp攔截有兩種模式一種是攔截，一種是監(jiān)視。攔截模式像是一個找茬的流氓，看誰都不爽，見誰都打。監(jiān)視模式是一個稍微理性一點的流氓，僅僅當(dāng)別人在他家門口那片空地賭著不走的時候才大打出手（默認是30 秒）。見誰都打，肯定累啊。我們要理性一點。

ip tcp intercept mode watch

ip tcp intercept watch-timeout 20

4）另外tcp連接你也不能一輩子都讓他連著。設(shè)置一個tcp超時時間，默認24小時，一般網(wǎng)中特殊服務(wù)的需要長連接的應(yīng)用時候30分鐘足咦

ip tcp intercept connection-timeout 1800

5）對于最大半開連接的門限也是可以更改的。默認low 900，high 1100.

ip tcp intercept max-incomplete low 800

ip tcp intercept max-incomplete high 1000

6）狀態(tài)查看

show tcp intercept connecitons

show tcp intercept statistics